IT und Recht, Cloud und mehr
Wenn man überlegt das Privacy Management einzusetzen, muss man auch konkret klären, wer dieses nutzen und verwalten muss und im Zweifel auch reagiert. In diesem Beitrag betrachten wir konkreter die Rollenverteilung im Unternehmen in Bezug auf das Microsoft Privacy Management.
In einem kleinen Unternehmen oder auch im privaten Umfeld benötigt man keine dezidierten Rollen für Administratoren, jedoch schauen wir vom Mittelstand bis hin in Enterprise Umgebungen, so brauchen wir verschiedene Adminrollen.
Diese verschiedenen Adminrollen sind gerade bei Teams äußerst wichtig, da sich in dem Produkt Microsoft Teams verschiedene klassische Abteilungen einer IT vereinen. So kommen Abteilungen von Apps bis Fileserver und Zusammenarbeit bis eben auch Telefonie und online Meetings zusammen. Dies bietet verschiedene Herausforderungen für alte Strukturen, die nicht nur durch Adminrollen gelöst werden können, sondern nur durch Umstrukturierung und engere Zusammenarbeit.
Microsoft setzt nun auf vielfachen Wunsch verschiedene Adminrollen für Microsoft Teams durch.
Azure AD – Roles
Microsoft 365 Global Administrator: Der Global Admin hat auch bei Microsoft Teams umfängliche Rechte und kann das Produkt alleine administrieren. Einschränkungen, die wir aus dem Security und Compliance Center her kennen, sind hier nicht zu finden.
Team Service Administrator: Der gesamte Team-Workload-Administrator, der auch O365-Gruppen verwalten und erstellen kann. Diese Rolle hat Zugriff auf alle Steuerelemente, die im Microsoft Teams und Skype für Business Admin Center verfügbar sind, sowie auf die entsprechenden PowerShell-Äquivalente. So kann diese Rolle beispielsweise alle Meetings, Sprach-, Messaging- und orgaweiten Einstellungen verwalten.
Administrator für Teamkommunikation: Diese Rolle kann Besprechungen und Anrufe in Microsoft Teams verwalten. Dazu gehören beispielsweise Änderungen an Konferenzbrücken und die Zuweisung von Telefonnummern.
Teams Kommunikation Unterstützung Engineering: Benutzer, denen diese Rolle zugewiesen ist, haben Zugriff auf erweiterte Call Analytics Tools. So können sie beispielsweise vollständige Informationen zu den Anrufaufzeichnungen einsehen. (Supportrolle)
Teams Kommunikation Unterstützung Spezialist: Diese Rolle hat Zugriff auf grundlegende Call Analytics Tools. So können beispielsweise Informationen zu den gesuchten Benutzern angezeigt werden. (Supportrolle)
“We’ve created multiple new roles for Teams administrators MC170551 Stay Informed Published
On : December 6, 2018
We’re bringing four new administrator roles to Microsoft Teams. This update is available in your Microsoft 365 admin center today. This message is associated with Microsoft 365 Roadmap ID: 42621. How does this affect me? Microsoft 365 administrator roles map to common business functions and give people in your organization permissions to do specific tasks in the Microsoft 365 admin center. We’ve created four new roles specifically for admins responsible for Microsoft Teams. These new roles are:- Teams service admin: Can manage all aspects of Microsoft Teams except license assignment. This includes policies for calling, messaging, and meetings; use of call analytics tools to troubleshoot telephony issues, and management of users and their telephony settings. They can also manage Office 365 Groups.- Teams communications admin: Can manage calling and meeting features of Microsoft Teams, including phone number assignments and meeting policies. They can also use call analytics tools to troubleshoot issues.- Teams communications support engineer: Can troubleshoot communication issues in Teams using call analytics tools, and can view full call record information for all participants involved. – Teams communications support specialist: Can troubleshoot communication issues in Teams using call analytics tools, and can view call record information for the specific user being searched for. This new admin roles are now available to assign in your Microsoft 365 admin center or by using PowerShell. These updates are not currently available for GCC organizations. What do I need to do to prepare for this change? There’s nothing you need to do to prepare for this change. If you have admins that work on Teams exclusively, consider assigning them these new roles to provide a tailored experience for their specific goals and to limit access to other areas of your subscription.”
Heute stelle ich euch in einem kürzeren Beitrag mal die azure Role based control (RBAC) vor. Ich nutze auch die in einem Blogpost vom 12.10.2015 vorgestellten Rollen. In dem Blogpost könnt ihr auch in zwei längeren Youtube Videos noch mehr Informationen erhalten. Alle Links erhaltet ihr, wie immer, am Ende des Blogbeitrags.
Also was ist RBAC?
Ich arbeite in Teams an bestimmten Projekten, denen ich natürlich nicht einzeln meinen Hauptaccount bei Azure geben will. Die komplette Kontrolle solltet und müsst ihr nicht nur aus Sicherheitsgründen, aber auch aus Wartungsgründen in einem gesonderten Account behalten.
Also benötige ich bestimmte Berechtigungen, die ich einer Ressourcen Gruppe zuordnen kann, um flexibel wie in meiner AD Berechtigungen in verschiedenen Ebenen gegen und wieder entziehen zu können.
Über RBAC besteht nun die Möglichkeit aus einer doch aus meiner Sicht recht beachtlichen Auswahl die korrekte Berechtigung begrenzt auf die Ressourcen Group zu setzen.
Wie läuft dies?
Also wie ordne ich und vor allem welche Rollen meiner Gruppe zu, dies erfahrt ihr jetzt in den nächsten Zeilen.
Zunächst öffne ich mal eine Ressourcen Gruppe. Ich habe mich hier einmal für eine WordPress Seite mit Datenbank und WebApp entschieden. Wie ihr bestimmt erstennt handelt es sich um die Webseite der Office 365 Usergroup.
Dann klicke ich auf das Symbol der beiden Männchen oben rechts in der Ecke und es öffnet sich ein neues Fenster mit den Usern dieser Ressourcen Gruppe.
Bevor ich mich entscheide, kann ich mir alle nun verfügbaren Rollen ansehen, sowie die eingesetzten Rollen in der Gruppe. Die Liste ist so lang, dass ich diese in zwei Screenshots aufteilen musste.
Nachdem ich nun eine Rolle ausgewählt habe, in dieser Form den Reader, also die reine Ansicht, muss ich der Rolle noch einen User oder eine Usergruppe zuordnen. Diese User oder Gruppen stammen aus einer Azure AD, bzw. aus dirt hinzugefügten Usern. Wie ihr seht, habe ich eine Gruppe und zwei Demouser hier aufgelistet, ich kann aber auch nach Usern suchen.
nach der Auswahl des Users, wird dieser nach wenigen Sekunden angezeigt. Dieser User hat nun die Möglichkeit der Ansicht.
PowerShell?
Natürlich können die Power-Shell Gurus auch mit PowerShell arbeiten und die Konfigurationen vornehmen. Diese finden sich dann in der Azure Resource Management API, also eine der Bibliotheken der Azure Management Libraries.
via:
Ankündigung:
Dokumentation:
Frage:
Wie viele Rollen gibt es zur Auswahl?
a) 32
b) 20
c) 25
d) 40